Comme salarié vous communiquez des données à caractère personnel à votre employeur. A ce titre, vos données entrent pleinement dans le cadre de la Loi Informatique et Libertés[1] et du Règlement Général sur la Protection des Données (RGPD)[2].
[1] Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée – https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000886460/
[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 – https://www.cnil.fr/fr/reglement-europeen-protection-donnees
Dois-je donner mon consentement aux traitements faits par mon employeur ?
Votre employeur collecte et traite vos données sur des fondements ne nécessitant pas un consentement spécifique :
- votre contrat de travail ;
- le respect de ses obligations légales ;
- les intérêts légitimes poursuivis ;
- la sauvegarde de vos intérêts vitaux ;
- l’exécution d’une mission d’intérêt public.
En revanche, s’il décide de réaliser des traitements qui n’entrent pas parmi ces fondements, votre employeur devra demander votre consentement comme pour l’utilisation de votre photo à des fins publicitaires.
Quelles informations doit me donner mon employeur ?
Votre employeur doit vous donner une information claire, transparente, compréhensible et aisément accessible sur les traitements effectués.
Dans le règlement intérieur, la politique interne ou charte de protection des données, ou une note de service devront figurer :
- Son identité et ses coordonnées, et le cas échéant, de son représentant ;
- Le cas échéant, les coordonnées de votre délégué à la protection des données (DPO) ;
- Les finalités des traitements ainsi que leur base juridique ;
- La description des intérêts légitimes poursuivies par celui-ci ou par un tiers ;
- Les destinataires de vos données ;
- Leur durée de conservation ;
- L’existence et la manière d’exercer vos différents droits ;
- Le droit d’introduire une réclamation auprès de la CNIL.
Une donnée personnelle correspond aussi bien à vos noms et prénoms, votre n° de Sécurité sociale, un contrôle des horaires de travail ou une image de vidéosurveillance.
Toute collecte indirecte de vos données par votre employeur fera l’objet d’un complément d’information sur les catégories de données personnelles collectées et la source de provenance de ces données.
Quelles sont les obligations de mon employeur ?
Votre employeur doit mettre en œuvre toutes les mesures nécessaires, techniques ou organisationnelles, pour garantir la protection de vos données. Elles tiennent compte de l’état des connaissances, des coûts de mise en œuvre, des finalités et des risques pour vos droits et libertés. Par exemple, il peut être mis en place un cloisonnement des données, un accès restreint et des habilitations spécifiques pour les personnes en charge des RH.
Toute violation devra être notifiée à la CNIL dans un délai de 72 heures. Vous devrez être averti dans les meilleurs délais sauf si votre employeur a chiffré les données avant la violation ou s’il a pris des mesures ultérieures garantissant que le risque élevé ne peut plus se matérialiser.
Quels sont mes droits en tant que salarié ?
Vous disposez d’un droit d’accès, de rectification et, sous conditions, d’effacement de vos données que vous pouvez exercer ce droit auprès du DPO quand il y en a un, de votre service RH ou du représentant légal de votre employeur. Une réponse doit vous être donnée dans les 30 jours, et en cas de demande complexe dans les 60 jours.
Bien entendu, vos droits peuvent s’exercer s’ils sont fondés, ne contredisent pas une obligation légale ou ne vont pas à l’encontre d’un motif légitime impérieux prévalant sur vos droits. Par exemple, il sera difficile de demander l’effacement de données nécessaire à l’adhésion à votre mutuelle.
Quels sont mes recours ?
Si vous estimez être victime d’un manquement, vous pouvez :
- Porter une réclamation à la CNIL qui peut prononcer des sanctions allant jusqu’10 ou 20 millions d’euros, ou de 2 à 4% de son chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu ;
- Si la décision de la CNIL ne vous convient pas, faire un recours juridictionnel contre la CNIL ;
- Faire un recours juridictionnel contre votre employeur ou l’un de ses sous-traitants en saisissant le Conseil de prud’hommes.
Aussi, les organisations syndicales représentatives peuvent mener une action de groupe[1] si plusieurs de vos collègues sont concernés.
[1] Loi n°2016-1547 de modernisation de la justice du 18 novembre 2016 – https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000033418805&dateTexte=20180503
Rédaction : J. CHARRÉ
Infographie : J. COTTIN
